Argent ウォレットに脆弱性があれば、攻撃者は保護者のいないユーザーから資金を盗むことができたでしょう。
レポートによるとガーディアン機能をアクティブにしていないウォレットを乗っ取ることができた可能性があります。
Argentウォレットの脆弱性が悪用される
ガーディアン機能を使用すると、ユーザーはウォレットの回復やロックなど、ウォレットの特定のアクションを制御できます。 プラットフォーム上でアカウントを作成するには、ユーザーは保護者を設定する必要があります。 ただし、2020 年 3 月 30 日より前に作成されたアカウントは、保護者なしでもセットアップできます。
攻撃者は Argent のコードのバグを悪用し、ガーディアンを設定していないアカウントの回復プロセスをトリガーしました。 ただし、ユーザーはウォレットを定期的に監視し、発行後 36 時間以内に回収リクエストをキャンセルすることで資金を保護できます。
これはデフォルトの回復期間であり、ユーザーの資金を保護するために使用できるようになりました。 ただし、ユーザーが回復の試みをブロックすると、ウォレットのバグによりサービス拒否攻撃に対して脆弱になり、資金がdefi期間凍結される可能性があります。
これは、アカウントが回復期間内に残り、ユーザーが資金にアクセスできなくなるように、ウォレットの回復を繰り返しリクエストすることで実行できます。
解決
Argent のチームは、攻撃者によるウォレットの回復。 ガーディアンのいないウォレットが多数あるため、同社は、ウォレットにガーディアンがいない場合にはリクエストが返されないようにする機能を追加することを提案しました。
ウォレットに少なくとも 1 人のガーディアンを設定するようすでに連絡していることを明らかにしました。